Ochrana osobných údajov a jej zmeny po novele od 15. apríla 2014

Hlavným cieľom zákona o ochrane osobných údajov je poskytovať ochranu právam fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov. Jeho obsahom sa tak zabezpečila ochrana a uplatňovanie Ústavou Slovenskej republiky garantovaných ľudských práv v intenciách transpozície Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov. Dňa 3. apríla 2014 bola Národnou radou Slovenskej republiky schválená novela zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Od 15. apríla 2014 novela nadobudla účinnosť a zákon znie – zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení zákona č. 84/2014 Z. z. a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“). Podľa dôvodovej správy účelom návrhu novely zákona bolo predovšetkým upraviť niektoré ustanovenia v súvislosti s plnením povinností pri spracúvaní osobných údajov, na ktoré reflektuje aplikačná prax úradu, ako aj subjektov, na ktoré sa zákon o ochrane osobných údajov vzťahuje. Návrh zákona najmä uľahčuje a zjednodušuje vykonateľnosť ustanovení týkajúcich sa oprávnených osôb a ich náležitého poučenia, plnenia informačnej povinnosti voči prevádzkovateľovi v prípade porušenia zákona o ochrane osobných údajov, teda znižuje administratívnu záťaž a dáva možnosť zmierniť dosahy z hľadiska správneho trestania, pokiaľ dôjde k porušeniu povinností pri spracúvaní osobných údajov alebo k nezabezpečeniu primeraných podmienok na výkon kontroly či mareniu výkonu kontroly.

Zmeny zákona

1. Oprávnená osoba

Novela zákona v definícii oprávnenej osoby v tejto súvislosti zmenila pojem „pracovného pomeru“ na „pracovnoprávny vzťah“. A to z toho dôvodu, aby vznik funkcie oprávnenej osoby nebol viazaný výlučne len na pracovný pomer, ale oprávnenou osobou mohla byť napríklad aj fyzická osoba, ktorá vykonáva činnosť na základe dohody o vykonaní práce alebo dohody o pracovnej činnosti či iná fyzická osoba. Novela zákona takýmto spôsobom uľahčila prevádzkovateľom zbytočné poverovanie fyzických osôb vykonávajúcich činnosť na základe dohôd. Podľa nového znenia zákona stačí iba poučenie oprávnenej osoby, tak ako pri klasickom zamestnancovi.

Mení sa aj obsah poučenia. Do 15. apríla 2014 zákon presne ustanovoval, ako má vyzerať poučenie oprávnenej osoby. Od 15. apríla 2014 sa spôsob vyhotovovania záznamu o poučení oprávnenej osoby ponecháva na rozhodnutí prevádzkovateľa tak, aby bol v jeho podmienkach preukázateľný, napr. nemusí už byť v papierovej podobe, ale je možné elektronické oboznámenie. Pozor, v takom prípade je potrebné preukázať úradu, že konkrétny zamestnanec „odklikol“, že sa oboznámil. Novela zákona zúžila rozsah poučenia oprávnenej osoby a ponechala ho v nevyhnutnej miere pri zachovaní požiadaviek smernice 95/46/ES.

Nové znenia paragrafov:

§ 21 odsek 2 znie:

„(2) Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o jej právach a povinnostiach pri spracúvaní osobných údajov; poučenie obsahuje najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov. Prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi oprávnenou osobou.“

§ 21 odsek 3 znie:

„(3) Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať.“

Úrad na ochranu osobných údajov SR (ďalej len „úrad“) má od 15. apríla 2014 na svojej webovej stránke nové vzory poučení:

http://www.dataprotection.gov.sk/uoou/sk/content/vzory-pouceni-opravnenej-osoby-0.

POZOR

Uvedené vzory je možné používať až pre tie oprávnené osoby, ktoré boli poučené s dátumom od 15. apríla 2014, t. j. nastúpili do zamestnania, alebo tú oprávnenú osobu, u ktorej došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia. Do 15. apríla 2014 bolo potrebné poučovať oprávnené osoby písomne s poučením, ktoré obsahovalo:

a)      identifikačné údaje prevádzkovateľa,

b)      titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,

c)      titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,

d)     informácie podľa odseku 2,

e)      deň poučenia a

f)       deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.

NOVINKA
Oprávnenej osobe už nie je možné uložiť sankciu za to, že nedodržiavala to, čo mala uvedené v poučení. Stále však zostáva možnosť uložiť pokutu podľa § 68 ods. 7 písm. c) citovaného zákona od 150 € do 2 000 € tomu, kto nepostupoval v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom podľa § 19 a § 20 citovaného zákona.

2. Zodpovedná osoba

Pri zodpovednej osobe dochádza k najvýraznejšej zmene. Zákon stále uvádza, že prevádzkovateľ je povinný vykonávať dohľad nad ochranou osobných údajov.

Stručný prehľad histórie, kedy bola povinnosť ustanoviť zodpovednú osobu:

Z uvedeného je zrejmé, že od 15. apríla 2014 môže mať zodpovednú osobu ktokoľvek, t. j. prevádzkovateľ má fakultatívnu možnosť jej poverenia na základe vlastného uváženia, ak bude spracúvať osobné údaje prostredníctvom svojich oprávnených osôb. Ak prevádzkovateľ nepoverí zodpovednú osobu, je povinný splniť si oznamovaciu povinnosť k tým informačným systémom, ktoré podliehajú oznamovacej povinnosti.

Podľa nášho  názoru je lepšie mať zodpovednú osobu, pretože pri oznamovacej povinnosti je tu nutnosť stále sledovať zmeny a do 15 dní odo dňa zmeny, napr. zmena sídla štatutára, je povinnosť tieto zmeny nahlásiť úradu.

NOVINKA

Od 15. apríla 2014 je umožnené, aby funkciu zodpovednej osoby vykonával aj štatutárny zástupca prevádzkovateľa.

Pre už poverené zodpovedné osoby alebo fyzické osoby, ktoré sa ešte len pripravujú na skúšku zodpovednej osoby, je určite pozitívom, že sa zrušila povinnosť uložiť sankciu zodpovednej osobe za to, že nezabezpečila povinnosti uvedené v § 27 zákona o ochrane osobných údajov.

Zo zákona bol vypustený aj § 23 ods. 11: „Prílohou poverenia, ktorá tvorí jeho neoddeliteľnú súčasť, je záznam o poučení podľa § 21 ods. 3.“ To znamená, že zodpovedná osoba je poučená ako oprávnená osoba, ale  tento záznam netvorí prílohu poverenia zodpovednej osoby.

Prechodné ustanovenia zostali v prípade zodpovednej osoby nezmenené, to znamená, že prevádzkovateľ sa do jedného roka, t. j. k 1. 7. 2014, musí rozhodnúť, či chce alebo nechce mať zodpovednú osobu. Oznámenie o poverení zodpovednej osoby alebo oznámenie oznamovacej povinnosti, ak niektoré z informačných systémov podliehajú oznamovacej povinnosti, je prevádzkovateľ povinný zaslať úradu, čiže odoslať na poštovú prepravu najneskôr 30. 6. 2014.

Na webovej stránke úradu sú k dispozícii nové vzory dokumentov k zodpovednej osobe:

http://www.dataprotection.gov.sk/uoou/sk/content/vzory-ziadosti-tlaciv.

3. Oznamovacia povinnosť

Ochrana osobných údajov sa podľa tohto zákona vzťahuje na všetky informačné systémy. Na to, aby došlo k zákonnému spracúvaniu osobných údajov, je prevádzkovateľ povinný požiadať o osobitnú registráciu informačných systémov, oznámiť informačný systém alebo viesť o nich evidenciu, pokiaľ sa na také informačné systémy vzťahuje výnimka z oznamovacej povinnosti alebo osobitnej registrácie. Povinnosť osobitnej registrácie, oznamovacej povinnosti a vedenie evidencie je preto potrebné považovať ako jeden kompaktný celok.

Povinnosť „obyčajnej“ registrácie sa od 15. apríla 2014 mení na bezplatnú oznamovaciu povinnosť, ktorá sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania.

Oznamovacia povinnosť sa nevzťahuje na informačné systémy, ktoré napr.:

a) podliehajú osobitnej registrácii podľa § 37, tzn. ak existuje osobitná registrácia na nejaký informačný systém, nemôže mať tento informačný systém aj „oznamovaciu povinnosť,

b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, okrem informačného systému, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), ktorý vždy podlieha oznamovacej povinnosti; úrad môže rozhodnúť, že informačný systém, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), podlieha osobitnej registrácii

[NOVINKA – aj napriek tomu, že prevádzkovateľ bude mať zodpovednú osobu, bude povinný oznámiť úradu informačný systém, kde právny základ spracúvania osobných údajov bude podľa § 10 ods. 3 písm. g) cit. zákona],

c) obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo

d) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Tu ide o všetky informačné systémy, kde právny základ spracúvania je zákon, napr. zákon č. 245/2008 Z. z. o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Postup pri prihlásení

Prevádzkovateľ je povinný oznámiť informačný systém podľa § 34 pred začatím spracúvania osobných údajov; oznámenie možno vykonať aj prostredníctvom elektronického formulára. Vzor žiadosti, ktorou prevádzkovateľ oznamuje informačný systém, nájdete na webovom sídle úradu. V prípade, keď oznamovaciu povinnosť vybavuje niekto iný ako prevádzkovateľ (napr. advokátska kancelária), je potrebné s registračným formulárom doručiť splnomocnenie.

Prevádzkovateľ oznámi informačný systém pred začatím spracúvania osobných údajov. Nie je však potrebné čakať na doručenie potvrdenia o oznámení, je možné začať spracúvať osobné údaje po odoslaní formulára na úrad.

POZOR

Od 15. apríla 2014 je nutné požiadať úrad o vydanie potvrdenia o splnení oznamovacej povinnosti. Ten vydá potvrdenie až na žiadosť prevádzkovateľa.

Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny oznámených údajov a údajov prihlásených na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d) citovaného zákona. Vzor žiadosti o oznámení zmien zverejní úrad na svojom webovom sídle.

Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne oznámiť ukončenie používania informačného systému podľa § 35 ods. 1 citovaného zákona a písomne odhlásiť informačný systém z osobitnej registrácie. Pri písomnom oznámení podľa prvej vety je prevádzkovateľ povinný uviesť najmä svoje identifikačné údaje, názov odhlasovaného informačného systému, identifikačné alebo registračné číslo a dátum skončenia spracúvania osobných údajov. Vzor písomného oznámenia podľa prvej vety zverejní úrad na svojom webovom sídle.

NOVINKA   

Zmenu oznámených údajov a oznámenie ukončenia používania informačného systému možno vykonať aj prostredníctvom elektronického formulára.

V prechodných ustanoveniach je uvedené: „Registrácie informačných systémov vykonané do 14. apríla 2014 sa považujú za oznámenia informačných systémov podľa § 34 v znení účinnom od 15. apríla 2014. Pri vyhotovovaní oznámenia podľa § 35 ods. 1, oznámení zmeny oznámených údajov a oznámení ukončenia používania informačného systému elektronickou formou sa od 15. apríla 2014 nevyžaduje zaručený elektronický podpis; od 1. septembra 2014 možno oznámenie podľa § 35 ods. 1, oznámenie zmeny oznámených údajov a oznámenie ukončenia používania informačného systému vykonať aj prostredníctvom elektronického formulára. Úrad zverejní elektronický formulár na svojom webovom sídle.“

Prehľad:

4. Bezpečnostné opatrenia

Podľa dôvodovej správy sa navrhuje odstránenie administratívnej záťaže podnikateľov, od 15. apríla sa zrušuje povinnosť prevádzkovateľa vypracovať bezpečnostnú smernicu, vypustilo sa ustanovenie § 19 ods. 2 zákona o ochrane osobných údajov. Do tohto dátumu je však  potrebné k informačným systémom mať vypracovanú smernicu, základnú dokumentáciu alebo bezpečnostný projekt, pozri  tabuľka dole.

POZOR:

Od 15. apríla 2014 vypadlo ustanovenie, podľa ktorého bol prevádzkovateľ povinný oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh; oboznámenie oprávnených osôb s obsahom bezpečnostnej smernice je prevádzkovateľ povinný na žiadosť úradu hodnoverne preukázať.

Dňa 24. apríla 2014 bola do Zbierky zákonov Slovenskej republiky odoslaná novela vyhlášky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení, ktorá upravuje, ako má vyzerať základná dokumentácia podľa § 19 ods. 1 zákona, t. j. ak prevádzkovateľ nepostupuje podľa § 19 ods. 2 zákona, preukazuje sa napríklad:

• popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach,
•  záznamami o poučení oprávnených osôb podľa § 21 zákona,
•  záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a 
• záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch.

Bezpečnostný projekt sa skladá z:

a) názov informačného systému, na ktorý sa vzťahuje,

b) bezpečnostný zámer,

c) analýza bezpečnosti informačného systému,

d) závery vyplývajúce z písmen b) a c).

Názov bezpečnostná smernica vypadol a nahradili ho závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému. Ale je to v podstate to isté, len sa to inak volá.

Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému na konkrétne podmienky prevádzkovaného informačného systému obsahujú:

a) popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,

b) rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,

c) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení,

d) postupy pri haváriách, poruchách a iných mimoriadnych udalostiach vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych udalostí a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou udalosťou.

Z bezpečnostnej smernice vypadlo písm. c), ktoré upravovalo rozsah zodpovednosti oprávnených osôb a zodpovednej osoby. Pre tých, ktorí už majú smernice s náležitosťami podľa starého znenia vyhlášky, neodporúčam zmenu, nie je to na škodu, skôr je to pozitívum.

5. Rôzne

• vypadlo ustanovenie, podľa ktorého bol sprostredkovateľ povinný „bonzovať“ na prevádzkovateľa, a to v prípade, ak zistí, že prevádzkovateľ nedodržuje zákon o ochrane osobných údajov;
•  v § 10 ods. 3 písm. g) sa za slová „tretej strany“ vkladá čiarka a slová: „najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov“. Ak prevádzkovateľ má informačný systém, kde je právny základ § 10 ods. 3 písm. g) zákona o ochrane osobných údajov, je povinný daný informačný systém oznámiť a ak úrad rozhodne, zaregistrovať na osobitnú registráciu. Uvedené ustanovenie pribudlo, ako  výpočet prípadov, kedy dochádza k spracúvaniu osobných údajov bez súhlasu dotknutej osoby, napr. hotline linka;
• kopírovanie úradných dokladov, ktoré v rozsahu potrebnom na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu je možné vyhotovovať bez súhlasu dotknutej osoby. To znamená, že v prípade personálnej a mzdovej agendy môže prevádzkovateľ kopírovať akékoľvek úradné doklady nevyhnutné na dosiahnutie daného účelu spracúvania;
• zmena nastala v prípade ukladania pokút, ktoré boli čiastočne zmenené na fakultatívne a ktorých horná hranica bola znížená o jednu tretinu. Vypadla možnosť uložiť pokutu tomu, kto ako oprávnená osoba poruší niektorú zo svojich povinností uložených v poučení podľa § 21 alebo ako zodpovedná osoba neplní povinnosti podľa § 27;
• zmena je v prípade zmluvy medzi prevádzkovateľom a sprostredkovateľom, ktorú je potrebné zosúladiť do dvoch rokov od pôvodnej účinnosti zákona, t. j. do 1. 7. 2015,
•  nie je potrebné informovať dotknuté osoby podľa § 15 ods. 1 zákona o ochrane osobných údajov (informácie, ktoré sa poskytujú pri získavaní osobných údajov), ak spracúva prevádzkovateľ osobné údaje podľa § 10 ods. 1 a 2 citovaného zákona, napr. na základe osobitných predpisov, ako je Zákonník práce alebo na základe zákona o ochrane osobných údajov;
• do ustanovenia § 12 ods. 3 pribudlo slovíčko „poskytnúť“ a v praxi to znamená, že prevádzkovateľ bez súhlasu dotknutej osoby – zamestnanca – môže jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby, poskytnúť tretej strane.

Záver

Novela zákona o ochrane osobných údajov účinná od 15. apríla 2014 síce priniesla veľa zmien, avšak je potrebné si uvedomiť, že u väčšiny dokumentácie uplynuli prechodné ustanovenia, a teda prevádzkovateľ je povinný mať túto dokumentáciu vypracovanú podľa zákona platného do 15. apríla 2014.

Autor: JUDr. Marcela Macová, PhD.